SpringBoot漏洞!Apache Tomcat有信息泄露风险(附解决方案)

已于 2024-08-15 10:15:16 修改
阅读量835 收藏 2
点赞数 10
文章标签: java spring spring boot maven
于 2024-08-15 10:11:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Carlos_ForYou/article/details/141205988
版权

Apache Tomcat信息泄露漏洞(CVE-2024-21733)


背景:


Apache Tomcat 是一个流行的开源 Web 服务器和 JavaServlet 容器。Coyote 是 Tomcat 的连接器组件

漏洞详细内容:

攻击者可以通过构造特定请求,在异常页面中输出其他请求的 body 数据,从而造成信息泄露。Apache Tomcat 对于不完整的 POST 请求会触发错误响应,由于Tomcat 连接器组件 Coyote在抛出异常后没有重置缓冲区位置和限制,攻击者可发送不完整的 POST 请求触发错误响应,从而可能导致获取其他用户先前请求的数据,造成信息泄露。该漏洞编号为 CVE-2024-21733


影响版本:

Apache Tomcat 9.0.0-M11 至 9.0.43 Apache Tomcat 8.5.7 至 8.5.63


处理方式:

目前该漏洞已经修复,受影响用户可升级到以下版本: Apache Tomcat >= 9.0.44 Apache Tomcat >= 8.5.64 下载链接: https://tomcat.apache.org/index.html

基于SpringBoot的项目处理方式:

由于Spring Boot 默认嵌入了 Tomcat 作为其内置的应用服务器,并且包含了 tomcat-coyote 的依赖

1. 首先检查spring-boot-starter-web依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
    <version>2.2.7.RELEASE</version>
    <scope>compile</scope>
</dependency>
2.切换成依赖分析

3. 搜索tomcat

确认当前版本的spring-boot-starter-web依赖内置的tomcat版本为9.0.34,属于存在漏洞的版本

4. 排除掉spring-boot-starter-web依赖中内置的tomcat

<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
            <version>2.2.7.RELEASE</version>
            <scope>compile</scope>
            <exclusions>
                <exclusion>
                    <groupId>org.springframework.boot</groupId>
                    <artifactId>spring-boot-starter-tomcat</artifactId>
                </exclusion>
                <exclusion>
                    <groupId>org.apache.tomcat.embed</groupId>
                    <artifactId>tomcat-embed-core</artifactId>
                </exclusion>
                <exclusion>
                    <groupId>org.apache.tomcat.embed</groupId>
                    <artifactId>tomcat-embed-el</artifactId>
                </exclusion>
                <exclusion>
                    <groupId>org.apache.tomcat.embed</groupId>
                    <artifactId>tomcat-embed-websocket</artifactId>
                </exclusion>
                <exclusion>
                    <groupId>org.apache.tomcat</groupId>
                    <artifactId>tomcat-annotations-api</artifactId>
                </exclusion>
            </exclusions>
        </dependency>

5. 引入tomcat依赖 

自己引入高版本的tomcat,如果之前用的tomcat8,要升级到8.5.64版本及以上,如果之前用的tomcat9,要升级到9.0.44版本及以上,我这里升级到了9.0.45(我的原则是能不多升,就不多升,各位看官自己选择)

<properties>
    <tomcat.version>9.0.45</tomcat.version>
</properties>

<dependency>
   <groupId>org.apache.tomcat.embed</groupId>
   <artifactId>tomcat-embed-core</artifactId>
   <version>${tomcat.version}</version>
   <exclusions>
      <exclusion>
         <groupId>org.apache.tomcat</groupId>
         <artifactId>tomcat-annotations-api</artifactId>
      </exclusion>
   </exclusions>
</dependency>

<dependency>
    <groupId>org.apache.tomcat</groupId>
    <artifactId>tomcat-annotations-api</artifactId>
    <version>${tomcat.version}</version>
</dependency>

<dependency>
    <groupId>org.apache.tomcat.embed</groupId>
    <artifactId>tomcat-embed-el</artifactId>
    <version>${tomcat.version}</version>
</dependency>

<dependency>
    <groupId>org.apache.tomcat.embed</groupId>
    <artifactId>tomcat-embed-websocket</artifactId>
    <version>${tomcat.version}</version>
    <exclusions>
        <exclusion>
            <groupId>org.apache.tomcat.embed</groupId>
            <artifactId>tomcat-embed-core</artifactId>
        </exclusion>
    </exclusions>
</dependency>

6. 最后转圈圈

7. 检查版本同上

Carlos_ForYou
关注
  • 10
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Apache Tomcat 信息泄露漏洞CVE-2024-21733CVE-2024-24549和CVE-2024-34750排查处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-14 3771
现场的为中小型项目,未直接使用功能tomcat作为容器使用,仅是jar包里spring-boor框架引入tomcat 内嵌到 web项目中作为web server使用,从而保证项目包可直接运行 webapp项目,无需再部署到额外的tomcat服务了;当不想因为Tomcat就改变SpringBoot的版本时,可以采用排除SpringBoot中的Tomcat包,然后手动指定新的Tomcat的版本来实现升级内置组件的目的,当然还要引入Tomcat相关的包。其中,Coyote作为Tomcat的。
详解springboot-修改内置tomcat版本
09-30
主要介绍了springboot-修改内置tomcat版本的相关资料,希望通过本文大家能掌握这样的方法,需要的朋友可以参考下
基于Apache Tomcat的一站式Java应用服务器解决方案.pdf
07-02
基于Apache Tomcat的一站式Java应用服务器解决方案.pdf
常见中间件重要漏洞总结
qq_50822277的博客
07-22 613
IIS深入浅出带你学习IIS中间件常见漏洞 IIS 6 解析漏洞 IIS 7 解析漏洞 PUT任意文件写入漏洞 IIS短文件名漏洞 RCE-CVE-2017-7269 Apache(php中间件) AddHandler解析漏洞 Apache HTTPD 换行解析漏洞CVE-2017-15715) Apache HTTP 路径穿越漏洞CVE-2021-41773) Apache HTTP 路径穿越漏洞CVE-2021-42013) Apache SSI 远程命令执行漏洞 未知扩展名解析漏洞 目录遍
spring boot项目和vue一起放在tomcat部署
11-13
spring boot项目和vue一起放在tomcat部署,spring boot项目和vue一起放在tomcat部署
Weblogic远程代码执行漏洞CVE-2023-21839)复现/保姆级讲解
BGiscool的博客
02-28 4587
由于WeblogicIIOP/T3协议存在缺陷,当IIOP/T3协议开启时,未经身份验证的攻击者通过IIOP/T3协议向受影响的服务器发送恶意的请求,最终导致在目标服务器上访问敏感信息并执行任意代码。
Tomcat中间件版本信息泄露
m0_54849806的博客
08-31 3432
解压后,通过vi编辑器修改解压出来的ServerInfo.properties文件(在/org/apache/catalina/util/下)进入Tomcat的webapps/ROOT目录,新增error_404.html页面,使用自定义页面已达到隐藏中间件版本信息的目的。Tomcat服务在响应404/500等网络错误时,默认会将当前版本信息显示出来,这样就造成了中间件版本信息泄露这样的漏洞。进入Tomcat下的lib目录,备份catalina.jar文件后,解压该文件。...
SpringBoot解决Apache Tomcat输入验证错误漏洞
培根芝士的专栏
07-15 1132
ApacheTomcat 输入验证错误漏洞(CVE-2024-24549)CVE编号漏洞描述Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。Apache Tomcat存在输入验证错误漏洞,该漏洞源于HTTP/2请求的输入验证不正确,会导致拒绝服务。修复方案目前,官方漏洞修复版本已经发布。建议用户升级到安全修复版本: 8.0.x 用户升级组件到 8.5.99 版;
Apache Tomcat信息泄露漏洞(CVE-2016-8745)
weixin_33885253的博客
02-15 2538
10.4.62.91 10.4.62.92 10.4.62.93 10.4.62.94Apache Tomcat信息泄露漏洞(CVE-2016-8745):可通过HTTP获取远端WWW服务信息发布时间:2016-12-12重要程度:重要受影响的版本:Apache Tomcat 9.0.0.m1到9.0.0.m13Apache Tomcat 8.5.0到8.5.8...
SpringBoot历史漏洞复现_springboot漏洞2024年最新真的醉了
m0_62289824的博客
04-15 2488
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~(img-yTSj4IpJ-1713175561720)]//转化的格式base。//反弹shell脚本。
Tomcat信息泄露漏洞
lch_pp的博客
09-11 1061
6.删除原来的tomcat8和tomcat,并将新apache-tomcat-8.5.87改为原始的tomcattomcat8,并删除删除新webapps下的examples(示例)# 7.把旧的server.xml;# 1.选择无漏洞的版本,https://tomcat.apache.org/download-80.cgi。# 4.复制旧的tomcattomcat-old下。# 3.备份旧的tomcat。# 5.解压新的tomcat
springboot内嵌Tomcat 安全漏洞修复
一个程序员的专栏
03-02 4255
内嵌tomcat升级版本
Springboot 修改Tomcat版本 修复Tomcat CVE-2024-21733 漏洞
扎克begod的专栏
08-15 559
修改Springboot Tomcat内置版本,修复Tomcat 漏洞,网络安全问题
Tomcat升级随笔
G在左,M在右
06-29 368
Tomcat升级随笔引言去官网下载对应的版本上传文件到指定服务器修改端口号指定JDK(如果不需要指定JRE/JDK 可以忽略)配置HTTPS(如果不需要Https可以忽略)端口操作(如果不需端口复原可以忽略)测试 引言 最近Tomcat升级比较频繁,特此记录一笔 去官网下载对应的版本 直接访问下面的链接,选择你想下载的版本号即可. 根据你的系统Linux 下载 tar.gz Windows 下载zip即可 :Linux 解压 tar包命令 tar -xzvf xx.tar.gz 官网地址 下载地址 上传文
Apache Tomcat信息泄露漏洞
m0_46459413的博客
11-02 4203
9月28日,Apache发布安全公告,公开披露了Tomcat中的一个信息泄露漏洞CVE-2021-43980)。由于某些Tomcat版本中的阻塞式读写的简化实现导致存在并发错误(极难触发),可能使客户端连接共享一个Http11Processor实例,导致响应或部分响应被错误的客户端接收,造成信息泄露Apache Tomcat 版本 >= 10.1.0-M14。Apache Tomcat 版本 >= 10.0.20。Apache Tomcat 版本 >= 8.5.78。
Spring Boot中的安全漏洞防护
微赚开发者技术分享博客
06-29 1014
大家好,我是免费搭建查券返利机器人省钱赚佣金就用微赚淘客系统3.0的小编,也是冬天不穿秋裤,天冷也要风度的程序猿!随着软件应用程序的复杂性增加,安全漏洞成为开发者不可忽视的重要问题。Spring Boot提供了强大的安全性配置选项和集成能力,帮助开发者有效地保护应用程序免受常见的安全攻击。通过Spring Security,我们可以实现复杂的认证和授权逻辑,包括基于角色的访问控制、OAuth认证、单点登录等。Spring Boot提供了一些内置的安全特性和配置选项,帮助开发者加固应用程序的安全性。
Tomcat版本号泄露漏洞修复
weixin_43959970的博客
06-27 402
#当调用不存在的页面或服务时,Tomcat会返回版本号或Spring异常信息。##解决:在conf/server.xml文件的Host结节下添加如下内容。## 另一种解决方案是在每个一网站的web.xml里配置错误重定向页面。
服务器信息泄漏漏洞,云安全日报210302:Apache Tomcat应用服务器发现信息泄露漏洞,需要尽快升级...
weixin_35794316的博客
08-10 372
Apache HTTP Server(简称Apache)是Apache软件基金会的一个开放源码的网页(Web)服务器,可以在大多数计算机操作系统中运行,由于其多平台和安全性被广泛使用,是最流行的Web服务器端软件之一.Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,它是一个小型的轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用。3月...
Spring Boot: 2.7.x 至 2.7.18 及更旧的版本,漏洞说明
最新发布
weimeilayer的博客
08-16 2628
Spring Framework 版本 5.3.0 至 5.3.38 及更早的不受支持版本中,如果应用程序评估了用户提供的 SpEL(Spring Expression Language)表达式,攻击者可以利用特制的表达式导致拒绝服务(DoS)攻击。Spring Framework: 5.3.0 至 5.3.38 及更早的版本 Spring Boot: 2.7.x 至 2.7.18 及更早的版本建议受影响版本的用户升级到以下修复版本: Spring Boot: 3) 缓解措施 建议受影响版本的用户升
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值